Secondo Phil Venables Vicepresidente, Chief Information Security Officer, Google Cloud e Sunil Potti VP / GM, Google Cloud Security il ransomware non è una nuova minaccia nel mondo della sicurezza informatica.
Infatti, questi attacchi distruttivi e finanziariamente motivati in cui i criminali informatici richiedono il pagamento per decrittografare i dati e ripristinare l’accesso sono stati studiati e documentati per molti anni.
La realtà odierna ci mostra che questi attacchi sono diventati più pervasivi, avendo un impatto su servizi essenziali come l’ assistenza sanitaria o il pompaggio di benzina. Nel blog post di Google, i manager sottolineano che, nonostante i tentativi di fermare questa minaccia, questo tipo di malware continua ad avere un impatto sulle organizzazioni di tutti i settori.
Interrompendo in modo significativo i processi aziendali e i servizi di infrastruttura nazionale critici e lasciando molte organizzazioni che cercano di proteggersi meglio.
Le organizzazioni che continuano a fare affidamento su sistemi legacy sono particolarmente vulnerabili alle minacce ransomware.
Il blog post di Google sottolinea la sicurezza del proprio stack tecnologico. Fattore centrale per fornire un ambiente più difendibile larga scala.
Google, proseguono i manager, si sforza di rendere disponibili le sue innovazioni in materia di sicurezza nelle piattaforme e nei sui prodotti. Questo, prosegue Google, è alla base del lavoro per offrire un cloud più affidabile e sicuro. Sebbene la minaccia del ransomware non sia nuova, la responsabilità di Google nell’aiutare le organizzazioni a proteggersi da minacce esistenti o emergenti non cambia mai.
Phil Venables e Sunil Potti hanno quindi voluto condividere una guida su come le organizzazioni possono aumentare la loro resilienza al ransomware. Inoltre, la guida suggerisce come alcuni dei prodotti e servizi Cloud di Google possano essere d’aiuto.
Serve un approccio di sicurezza completo per proteggersi dal ransomware
Una protezione efficace contro il ransomware (e molte altre minacce) richiede più livelli di difesa. Il National Institute of Standards and Technology (NIST) delinea cinque funzioni principali nel Cybersecurity Framework che fungono da pilastri primari per un programma di sicurezza informatica completo e di successo in qualsiasi organizzazione del settore pubblico o privato.
Di seguito sono riportati i consigli del NIST ed esempi di come le tecnologie cloud possono aiutare ad affrontare le minacce ransomware:
Identificare: sviluppare una comprensione dei rischi per la sicurezza informatica che è necessario gestire per l’ambito di risorse, sistemi, dati, persone e capacità.
Nel caso del ransomware, capire quali sistemi o processi hanno maggiori probabilità di essere presi di mira da un attacco e quale sarebbe l’impatto aziendale se sistemi specifici fossero resi inutilizzabili.
Ciò aiuterà a stabilire le priorità e concentrare gli sforzi per gestire i rischi.
Il white paper CISO Guide to Security Transformation delinea i passaggi per un approccio alla sicurezza con il cloud informato sul rischio, anziché evitarlo.
Un approccio basato sul rischio può aiutare ad affrontare i rischi per la sicurezza più importanti. I fornitori di servizi cloud rendono questo approccio basato sul rischio più facile ed efficiente sviluppando e mantenendo molti dei controlli e degli strumenti necessari per mitigare le moderne minacce alla sicurezza.
Servizi come Cloud Asset Inventory forniscono un meccanismo per scoprire, monitorare e analizzare tutte le risorse in un unico ambiente.
Protezione: creare misure di salvaguardia per garantire la fornitura di servizi e processi aziendali critici per limitare o contenere l’impatto di un potenziale incidente o attacco di sicurezza informatica. Nel caso del ransomware, queste misure di salvaguardia possono includere framework come zero trust che proteggono e autenticano fortemente l’accesso degli utenti e l’integrità del dispositivo, segmentare gli ambienti, autenticare gli eseguibili, ridurre il rischio di phishing, filtrare spam e malware, integrare la protezione degli endpoint, applicare patch in modo coerente e fornire controlli continui garanzia. Alcuni esempi di prodotti e strategie da coinvolgere in questa fase includono:
Una piattaforma di posta elettronica nativa del cloud e intrinsecamente sicura : la posta elettronica è al centro di molti attacchi ransomware. Può essere sfruttato per phishing delle credenziali per l’accesso illegale alla rete e / o per distribuire direttamente i file binari del ransomware.
La protezione avanzata da phishing e malware in Gmail fornisce controlli per mettere in quarantena le e-mail, difende da tipi di allegati anomali e protegge dalle e-mail di spoofing in entrata. Security Sandbox rileva la presenza di malware precedentemente sconosciuto negli allegati.
Di conseguenza, Gmail impedisce a più del 99,9% di spam, phishing e malware di raggiungere le caselle di posta degli utenti. A differenza dei sistemi di posta elettronica tradizionali, Gmail viene aggiornato continuamente e automaticamente con i più recenti miglioramenti di sicurezza e protezioni per aiutare a mantenere al sicuro la posta elettronica.
Forte protezione contro il furto di account : gli account compromessi consentono agli operatori di ransomware di prendere piede nelle organizzazioni delle vittime, eseguire ricognizioni, ottenere accesso non autorizzato ai dati e installare file binari dannosi.
Google Cloud utilizza molti livelli di sistemi di apprendimento automatico per il rilevamento delle anomalie per distinguere tra attività utente sicura e anomala su browser, dispositivi, accessi alle applicazioni e altri eventi di utilizzo.
Controlli di accesso zero trust che limitano l’accesso degli aggressori e gli spostamenti laterali : BeyondCorp Enterprise fornisce una soluzione chiavi in mano per implementare l’accesso zero trust alle applicazioni e risorse aziendali chiave.
In un modello di accesso zero trust, agli utenti autorizzati viene concesso l’accesso temporizzato alle singole app, non all’intera rete aziendale. Inoltre, le autorizzazioni vengono valutate continuamente per determinare se l’accesso è ancora valido. Ciò impedisce il movimento laterale attraverso la rete su cui fanno affidamento gli aggressori ransomware per cercare dati sensibili e diffondere infezioni.
Protezione dalle minacce aziendali per Chrome : sfruttando la tecnologia di navigazione sicura di Google, Chrome avvisa gli utenti di milioni di download di malware ogni settimana. La protezione dalle minacce in BeyondCorp Enterprise fornita tramite Chrome può prevenire le infezioni da malware precedentemente sconosciuto, incluso il ransomware, con controlli URL in tempo reale e scansione approfondita dei file.
Avvisi di download dannoso per avvisare gli utenti in Chrome
Endpoint progettati per la sicurezza : i Chromebook sono progettati per proteggere da attacchi di phishing e ransomware con un ridotto impatto sul dispositivo, sistema operativo di sola lettura, aggiornamento costantemente invisibile, sandbox, avvio verificato, navigazione sicura e chip di sicurezza Titan-C. Implementazione di dispositivi ChromeOS per gli utenti che lavorano principalmente in un browser in grado di ridurre la superficie di attacco di un’organizzazione, come ad esempio fare troppo affidamento su dispositivi Windows legacy, che sono stati trovati ad essere spesso vulnerabili agli attacchi.
Rilevazione: Secondo il NIST è fondamentale definire modi continui per monitorare l’organizzazione e identificare potenziali eventi o incidenti di sicurezza informatica.
Nel caso del ransomware, ciò può includere il monitoraggio dei tentativi di intrusione, l’implementazione di soluzioni DLP (Data Loss Prevention) per rilevare l’esfiltrazione di dati sensibili.
La capacità di individuare e bloccare le attività dannose associate al ransomware il prima possibile è fondamentale per prevenire interruzioni dell’attività. Chronicle è una soluzione di rilevamento delle minacce che identifica le minacce, incluso il ransomware.
Reazione: attivare un programma di risposta agli incidenti all’interno della propria organizzazione può aiutare a contenere l’impatto di un evento di sicurezza; in questo caso, ransomware.
Durante un attacco ransomware o un incidente di sicurezza, è fondamentale proteggere le comunicazioni sia internamente ai tuoi team che esternamente ai partner e clienti. Molte organizzazioni sono passate a Google Workspace perché offre una suite di collaborazione online standardizzata e sicura e, in caso di incidente di sicurezza, è possibile creare rapidamente una nuova istanza per fornire un ambiente separato e sicuro per le azioni di risposta .
Recovery: creare un programma di resilienza informatica e una strategia di backup per preparare l’organizzazionew a come ripristinare i sistemi o le risorse principali interessati da un attacco cyber.
Si tratta di una funzione fondamentale per supportare le tempistiche di ripristino e ridurre l’impatto di un evento informatico in modo da poter tornare a gestire l’attività aziedanle
Immediatamente dopo un attacco ransomware, è necessario identificare un’immagine di backup temporizzata sicura che è nota per non essere infetta.
Actifio GO fornisce una protezione dei dati incrementale scalabile ed efficiente e un’esclusiva capacità di ripristino quasi istantaneo per i dati. Questo ripristino quasi istantaneo facilita l’identificazione rapida di un punto di ripristino pulito, consentendo la ripresa rapida delle funzioni aziendali. Actifio GO è indipendente dall’infrastruttura e può proteggere le applicazioni on-premise e nel cloud.
Gli attacchi informatici continueranno ad evolversi
Recentemente, i gruppi di ransomware hanno evoluto le loro tattiche per includere il furto di dati prima che venissero crittografati.
Con la minaccia di estorcere questi dati attraverso fughe di notizie. Inoltre, alcuni operatori di ransomware hanno utilizzato la minaccia di attacchi DDoS (Distributed Denial of Service) contro le organizzazioni vittime nel tentativo di costringerle ulteriormente a pagare i riscatti.
Gli attacchi DDoS possono anche servire da distrazione, occupando i team di sicurezza mentre gli aggressori cercano di raggiungere altri obiettivi come l’esfiltrazione di dati o la crittografia di dati business-critical. Implementando Google Cloud Armor , che può scalare per assorbire massicci attacchi DDoS , le organizzazioni posso proteggere i servizi distribuiti in Google Cloud, altri cloud o in sede dagli attacchi DDoS.
La protezione dal ransomware è un problema critico per tutte le organizzazioni e queste best practice sono solo l’inizio della costruzione di una sicurezza informatica matura e resiliente.
È importante ricordare che non è possibile concentrare gli sforzi su un singolo pezzo di difesa. Ogni azienda ha bisogno di un programma completo di sicurezza informatica che consenta di identificare, prevenire, rilevare, rispondere e recuperare dalle minacce.
